가상자산 커스터디(금융자산을 대신 보관·관리하는 서비스)와 지갑 사업자의 정보보안관리체계(ISMS) 심사 항목을 개별화·전문화해야 한다는 주장이 강하게 제기된다. 현재 ISMS 심사 항목은 일반 정보통신사업자에 맞춰져 있어 가상자산과 블록체인 기반 서비스에 적합하지 않다는 우려에서다. 몇몇 불필요한 시스템에 적지 않은 돈을 써야하는 데다 제대로 된 보안 효과를 누리기 어렵다는 지적도 나온다.

24일 업계에 따르면 가상자산 사업자에 맞는 ISMS 항목을 신설할 필요성이 제기된다. 블록체인 기반 서비스에 맞도록 심사 항목을 다시 손봐야 한다는 주장이다.

ISMS란 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증 기준에 적합한지 심사해 인증을 부여하는 제도다. 사업 안정성을 제고하고 투명한 경영환경을 만들자는 목표다. 근거법률은 정보통신망법이다.

특금법에 따르면 가상자산 사업자는 ISMS를 취득하고 실명확인 입출금 계정(이하 실명계좌)을 발급받아야 한다. 커스터디나 지갑사업자는 ISMS 인증을 받아야 사업을 계속할 수 있다.

현행법상 ISMS 심사 대상은 정보통신서비스 제공자다. 인터넷서비스사업자(ISP), 정보통신시설 운영·관리 사업자(IDC), 매출액이나 세입액 등이 1500억원 이상이거나 정보통신서비스 매출 100억원, 이용자수 100만명 이상인 사업자가 여기에 해당한다. SK텔레콤과 같은 통신사, 쿠팡 등 인터넷쇼핑몰, 네이버 등 포털사 등이 대표적이다. 의무대상 서비스 기업이 인증을 받지 않으면 최대 3000만원의 과태료를 받게 된다.

전문가들은 정보통신서비스와 가상자산 커스터디 서비스 시스템 환경은 성격이 다르다고 입을 모은다. 정보통신서비스의 경우 보안의 3대 요소 중 무결성과 가용성이 중시되는 반면, 가상자산 커스터디 서비스는 비밀성 유지가 절대적이라는 설명이다.

다시 말해 정보통신서비스는 제 3자에 의한 임의 조작이 금지돼야 하고 서비스 이용자가 사용할 수 있는 범위 내에서 이뤄지도록 보안 시스템을 구축해야 한다. 반면 가상자산 커스터디 사업은 키 값이 노출되지 않도록 보안을 강화하는 게 핵심이다. 국내 가상자산 암호화 전문가는 "가상자산 커스터디와 지갑 서비스는 키 값이 유출되면 끝"이라며 "비밀성 유지가 알파이자 오메가"라고 강조했다.

현재 ISMS는 정보통신서비스에 맞게 설정돼있다. 여기에 가상자산 거래소가 잦은 해킹으로 투자자 피해가 발생하면서 심사 항목이 강화됐다. 이에 따라 커스터디와 지갑 사업자를 포함한 모든 가상자산 사업자는 ISMS 인증을 받을 때 기본 항목 234개와 추가 항목 56개까지 총 290개 항목을 심사받아야 한다.

심사 항목이 많다 보니 인증을 받기까지 소요되는 기간도 길고 들어가는 비용도 적지 않다. 업계에 따르면 ISMS 인증에 걸리는 시간은 짧게는 7개월에서 길게는 10개월 가량이다. 대다수의 사업자는 ISMS 심사 준비에 약 2억원의 구축 비용과 연간 1억원의 유지 비용이 소요된 것으로 집계됐다.

반면 가상자산 커스터디 서비스에 필요한 시스템만 구축하면 비용은 약 5000만원에서 7000만원 선으로 줄어든다. 연간 유지비용도 5000만원으로 감소한다. 불필요한 시스템 구축에 적어도 1억원이 넘는 돈이 들어간다는 얘기다.

현재 ISMS를 획득한 지갑사업자는 헥슬란트가 유일하다. 헥슬란트는 올해 1월부터 ISMS를 준비, 블록체인 지갑 솔루션 옥텟과 가상자산 지갑 토큰뱅크에 대해 ISMS 인증을 획득했다.

이 밖에 KB국민은행과 신한은행이 참여한 가상자산 커스터디 사업자 한국디지털에셋(KODA)과 한국디지털자산수탁(KDAC)도 ISMS 인증 획득을 위해 진행 중이다. 우리은행과 커스터디 합작 법인을 설립한 코인플러그도 지난 4월 ISMS 심사를 신청했다. 가상자산 지갑 사업자인 비트베리와 다날핀테크 지갑 서비스도 ISMS 심사를 준비 중에 있다.

국내 커스터디 사업자는 "서비스 유형에 따라 정보보안 리스크나 자금세탁 리스크의 영향도가 모두 다른데 이 부분을 고려하지 않고, 모든 가상자산 사업자를 거래소와 동급으로 보고 관리를 하려고 하는 것이 문제다"라며 "각각의 가상자산 사업자의 리스크를 식별하고 이에 맞는 법률 체계가 마련되어야 한다"고 강조했다.

국내 지갑 사업자는 "목적과 취지는 공감하고 있다"면서도 "인증기관의 블록체인 서비스 이해도가 낮은 가운데 인증 기준만 강조하고 있어 준비가 매우 어렵다"고 말했다.

또 다른 지갑 사업자는 "가상자산 거래소, 커스터디, 지갑 등 각각의 서비스에 맞도록 보안 심사를 쪼갤 필요가 있다"며 "ISMS는 정보보안체계만 하고, 지갑이나 커스터디 서비스는 직접 법으로 관리하는 게 효율적 일 것"이라고 견해를 밝혔다.

조아라 기자 archo@chosunbiz.com